Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3151-1 python-django

Säkerhetsbulletin från Debian

DSA-3151-1 python-django -- säkerhetsuppdatering

Rapporterat den:

2015-02-03

Berörda paket:

python-django

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 775375.
I Mitres CVE-förteckning: CVE-2015-0219, CVE-2015-0220, CVE-2015-0221.

Ytterligare information:

Flera sårbarheter har upptäckts i Django, ett webbutvecklingsramverk för Python på hög nivå. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2015-0219

  Jedediah Smith rapporterade att WSGI-miljön i Django inte skiljer på huvuden som innehåller streck och huvuden som innehåller understreck. En fjärrangripare kunde använda denna brist för att förfalska WSGI-huvuden.

• CVE-2015-0220

  Mikko Ohtamaa upptäckte att funktionen django.util.http.is_safe_url() i Django inte hanterar inledande whitespace ordentligt i användartillhandahållna omdirigerings-URLer. En fjärrangripare kunde potentiellt använda denna brist för att utföra ett sajtöverskridande angrepp.

• CVE-2015-0221

  Alex Gaynor rapporterade en brist i sättet som Django hanterar inläsning av filer i vyn django.views.static.serve(). En fjärrangripare kunde möjligen använda denna brist för att starta en överbelastning via resurskonsumption.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.4.5-1+deb7u9.

För den kommande stabila utgåvan (Jessie) har dessa problem rättats i version 1.7.1-1.1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.7.1-1.1.

Vi rekommenderar att ni uppgraderar era python-django-paket.